Luật Dữ liệu: Doanh nghiệp Việt từ “có hồ sơ cho đủ” đến biến tuân thủ thành cạnh tranh

Việt Nam đang bước vào một giai đoạn mới của quản trị số, nơi luật dữ liệu không còn chỉ là khung quy định mang tính định hướng, mà trở thành một cấu phần vận hành của nền kinh tế. Nếu trước đây, nhiều doanh nghiệp xem tuân thủ dữ liệu như một yêu cầu pháp lý mang tính hình thức, thì nay, cùng với sự hoàn thiện của hệ thống luật và thủ tục hành chính, tính tuân thủ đang dịch chuyển thành một hệ thống quản trị có cấu trúc, có quy trình và có khả năng kiểm chứng.

Theo ông Ronni K. Gothard Christiansen, chuyên gia dữ liệu và bảo mật quyền riêng tư, CEO kiêm sáng lập AesirX, Việt Nam đang chuyển rất nhanh từ cách “tiếp cận bảo vệ dữ liệu chỉ dừng ở hồ sơ, giấy tờ” sang “bảo vệ dữ liệu như một hệ thống vận hành thực chất trong doanh nghiệp”.

“Rủi ro lớn nhất có thể không nằm ở việc doanh nghiệp thiếu chính sách, mà ở chỗ không thể xuất trình đúng bộ hồ sơ theo yêu cầu, đúng định dạng, đúng thời hạn, kèm theo bằng chứng kiểm toán rõ ràng”, ông Ronni K. Gothard Christiansen nói. Luật dữ liệu đang dần đóng vai trò như một loại “hạ tầng mềm” – tương tự như cách hạ tầng tài chính hay hạ tầng viễn thông từng định hình các giai đoạn phát triển trước đây.

TỪ KHUÔN KHỔ PHÁP LÝ ĐẾN CƠ CHẾ VẬN HÀNH CHUẨN HÓA

Theo chuyên gia, trục chính của quá trình chuyển đổi này là sự hình thành một “stack” pháp lý nhiều lớp. Trung tâm là Luật Bảo vệ Dữ liệu cá nhân (Luật số 91/2025/QH15, được Quốc hội thông qua ngày 26/6/2025, có hiệu lực thi hành từ 01/01/2026), đặt ra các nguyên tắc về xử lý dữ liệu cá nhân, quyền của chủ thể dữ liệu, vai trò của bên kiểm soát và bên xử lý, cùng yêu cầu đánh giá tác động và quản lý chuyển dữ liệu ra nước ngoài. Nghị định 356/2025/NĐ-CP là văn bản hướng dẫn then chốt đã cụ thể hóa các yêu cầu trọng tâm của Luật thành yêu cầu có thể kiểm tra/thanh tra được.

Theo ông Ronni K. Gothard Christiansen, chuyên gia dữ liệu và bảo mật quyền riêng tư, CEO kiêm sáng lập AesirX, Việt Nam đang chuyển rất nhanh từ cách “tiếp cận bảo vệ dữ liệu chỉ dừng ở hồ sơ, giấy tờ” sang “bảo vệ dữ liệu như một hệ thống vận hành thực chất trong doanh nghiệp”.

“Rủi ro lớn nhất có thể không nằm ở việc doanh nghiệp thiếu chính sách, mà ở chỗ không thể xuất trình đúng bộ hồ sơ theo yêu cầu, đúng định dạng, đúng thời hạn, kèm theo bằng chứng kiểm toán rõ ràng”, ông Ronni K. Gothard Christiansen nói. 

Điểm khác biệt đáng chú ý nằm ở tầng thủ tục. Quyết định 778/QĐ-BCA-A05 ban hành ngày 09/02/2026 vừa qua không chỉ nói về việc “phải có hồ sơ”, mà chuẩn hóa toàn bộ vòng đời của một bộ hồ sơ tuân thủ: tiếp nhận, thẩm định, yêu cầu bổ sung, gia hạn, hoàn tất. Điều đó đồng nghĩa với việc tuân thủ được đặt trong logic của quy trình hành chính có cấu trúc, thay vì chỉ là tài liệu lưu trữ nội bộ.

Bên cạnh đó, Luật Dữ liệu đã mở rộng phạm vi sang quản trị dữ liệu ở cấp độ hệ thống, bao gồm phân loại dữ liệu, quản lý rủi ro, chia sẻ và lưu trữ. Trong khi đó, Luật An ninh mạng 2025 có hiệu lực từ 01/07/2026 cũng đưa ra những định hướng bảo mật mới mà doanh nghiệp cần theo dõi và chuẩn bị sẵn năng lực đáp ứng.

“Sự kết hợp giữa bảo vệ dữ liệu cá nhân, quản trị dữ liệu và an ninh mạng tạo ra một cấu trúc pháp lý đan xen”, ông Ronni Gothard Christiansen nói. “Đây là đặc điểm khiến Việt Nam không thể được xem là “phiên bản khác của GDPR”.

Ông nhận định: “Nếu bạn từng làm tuân thủ ở EU hay Singapore, bạn có thể nghĩ Việt Nam cũng tương tự. Nhưng Việt Nam đang theo hướng kết hợp giữa quản trị nhà nước, thủ tục hành chính chuẩn hóa và trách nhiệm vận hành liên tục. Điều này thay đổi cách doanh nghiệp phải thiết kế hệ thống nội bộ”.

Nói cách khác, Luật dữ liệu không chỉ xác định nghĩa vụ, mà còn định hình cách doanh nghiệp tổ chức quy trình, phân vai trò và lưu trữ bằng chứng.

TUÂN THỦ TRỞ THÀNH NĂNG LỰC VẬN HÀNH, KHÔNG CÒN LÀ TÀI LIỆU

Trong môi trường pháp lý mới, câu hỏi trọng tâm không còn là doanh nghiệp đã ban hành chính sách bảo mật hay chưa. Thay vào đó, cơ quan quản lý và đối tác có thể yêu cầu xuất trình hồ sơ đánh giá tác động, sổ đăng ký chuyển dữ liệu xuyên biên giới, nhật ký xử lý yêu cầu của chủ thể dữ liệu, hay bằng chứng về quy trình ứng phó sự cố.

Theo ông Ronni Gothard Christiansen, “thất bại phổ biến nhất không phải là doanh nghiệp không cố gắng tuân thủ, mà là tuân thủ bị phân tán ở nhiều phòng ban, nhiều định dạng, nhiều thư mục khác nhau. Khi có sự cố hoặc yêu cầu từ cơ quan chức năng, họ không thể lắp ghép thành một bộ hồ sơ hoàn chỉnh đủ sức thuyết phục”.

Điều này đặc biệt rõ ở các lĩnh vực như ngân hàng, thanh toán, viễn thông và thương mại điện tử, nơi dữ liệu nhạy cảm và dòng dữ liệu xuyên biên giới đóng vai trò cốt lõi. Với ngân hàng, một thay đổi trong nhà cung cấp dịch vụ công nghệ có thể kéo theo yêu cầu đánh giá lại rủi ro dữ liệu. Với doanh nghiệp nền tảng, một tính năng mới thu thập dữ liệu người dùng có thể làm phát sinh nghĩa vụ cập nhật hồ sơ đánh giá tác động.

Tuân thủ vì thế không thể nằm trong các file Word tĩnh. Nó đòi hỏi hệ thống đăng ký xử lý dữ liệu được cập nhật liên tục, cơ chế quản lý phiên bản, quy trình phê duyệt nội bộ và lưu vết thay đổi. Ông Ronni nhấn mạnh: “Khi nhà nước chuẩn hóa thủ tục, hệ thống tuân thủ của doanh nghiệp cũng phải trở nên ‘process-native’, tức được thiết kế xoay quanh quy trình, chứ không phải tài liệu”.

Sự chuyển đổi này đang tạo ra nhu cầu mới về công nghệ quản trị tuân thủ. Thay vì thuê tư vấn để viết một bộ chính sách rồi cất vào tủ, doanh nghiệp cần nền tảng quản lý đăng ký, workflow, bằng chứng và trạng thái hồ sơ theo thời gian thực. Đây chính là điểm giao thoa giữa pháp lý và công nghệ, nơi regtech (Regulatory Technology - Công nghệ Tuân thủ Quy định hay còn gọi là Công nghệ Quản trị Tuân thủ) có cơ hội phát triển.

LUẬT DỮ LIỆU CÓ THỂ ĐƯỢC XEM NHƯ PHẦN MỀM CỦA NỀN KINH TẾ SỐ

Theo chuyên gia, ở cấp độ vĩ mô, việc chuẩn hóa Luật Dữ liệu có ý nghĩa vượt ra ngoài câu chuyện tuân thủ. Trong nền kinh tế số, dữ liệu là tài sản chiến lược. Khả năng quản trị dữ liệu một cách minh bạch và có kiểm soát trở thành điều kiện để thu hút đầu tư, triển khai dịch vụ xuyên biên giới và xây dựng niềm tin thị trường.

Một trung tâm tài chính muốn thu hút ngân hàng quốc tế, quỹ đầu tư và doanh nghiệp fintech cần chứng minh rằng dữ liệu được xử lý theo chuẩn mực rõ ràng, có cơ chế giám sát và có khả năng đáp ứng yêu cầu của cơ quan quản lý. Nếu không có hạ tầng mềm về luật dữ liệu, hạ tầng cứng như trung tâm dữ liệu hay mạng viễn thông khó có thể phát huy hết giá trị.

Ông Ronni Gothard Christiansen cho rằng: “Tuân thủ trở nên dễ quản lý khi nó trở thành một hệ thống. Khi doanh nghiệp có đăng ký, có quy trình, có bằng chứng và có khả năng tạo hồ sơ chuẩn hóa nhanh chóng, họ không chỉ giảm rủi ro pháp lý mà còn tăng khả năng mở rộng kinh doanh”.

Từ góc nhìn này, luật dữ liệu có thể được xem như phần mềm của nền kinh tế số. Nó quyết định cách các “ứng dụng” như ngân hàng số, thương mại điện tử, trí tuệ nhân tạo hay dịch vụ cloud vận hành. Khi phần mềm này được thiết kế rõ ràng và được doanh nghiệp triển khai nghiêm túc, nó tạo ra sự ổn định thể chế – yếu tố quan trọng để Việt Nam hội nhập sâu hơn vào chuỗi giá trị số toàn cầu.